受新冠疫情影響,全球大部分企業開啟遠程辦公模式,企業對電子郵件的依賴也達到了前所未有的程度。與此同時,電子郵件也成為網絡犯罪分子的主要攻擊目標,他們通過各種手段竊取敏感數據,并通過一系列復雜攻擊手段傳播危險的惡意軟件。
由于傳統的郵件傳輸協議(SMTP)并沒有內置安全防護元素,因此電子郵件系統需要額外的安全協議來保護系統運營安全。本文收集整理了目前常用的郵件安全協議并對其進行簡單介紹。
1. SSL/TLS應用層安全協議
安全套接層(SSL)及后續的技術傳輸層安全(TLS)都是應用層安全協議,也是兩種最常見的郵件安全協議,可以保護在互聯網上傳輸的郵件。在互聯網通信網絡中,應用層為終端用戶服務的通信實現了標準化。在這種情況下,通過應用層提供一個安全框架(一組規則),可以與SMTP(也是一種應用層協議)共同確保郵件通信的安全。
由于SSL目前已經逐步被優化,企業需要更多關注其后續技術TLS,它為計算機程序通信提供額外的私密性和安全性,其中就包括了給郵件系統的SMTP協議提供額外安全性保護。TLS之所以非常重要,是由于絕大多數的郵件服務器和郵件客戶端使用它為郵件提供基本級別的加密。
在具體應用中,TLS協議包括了機會型TLS和強制型TLS,其中:機會型TLS會告訴郵件服務器,需要將現有的客戶端連接轉換成安全的TLS連接;而強制型TLS會強制所有往來的郵件都使用安全的TLS標準,否則將不會被發送出去。
2. 數字證書
數字證書是一種公鑰加密工具,能夠通過加密來保護郵件。通過數字證書,可以讓使用者應用預定義的公共密鑰,向收件人發送經過加密的郵件,因此,數字證書有點像護照:它與用戶的在線身份綁定,其主要用途是驗證這個身份。
如果使用數字證書,其公鑰也可供任何想給該用戶發送加密郵件的人使用。他們可以使用用戶的公鑰來加密文檔,而用戶可以用私鑰來解密。數字證書并不僅限于個人使用。企業、政府組織、郵件服務器及幾乎數字實體都可以擁有數字證書,以確認和驗證郵件用戶的在線身份。
3. SPF域名驗證協議
域名系統是互聯網的重要基礎,代表了某個實體的線上地址。發送方策略框架(SPF)是一種可以防范域名欺詐的驗證協議。SPF引入了額外的安全檢查,使郵件服務器能夠確定郵件是否來自真正的域名或是否有人冒用該域名來隱藏真實身份。
由于域名可用來追蹤確定位置和所有者,因此黑客和垃圾郵件發送者在企圖滲入系統或欺騙用戶時經常會隱藏其域名。如果不法分子讓惡意郵件冒充是正規域名發來的郵件,毫無戒備的用戶更容易點擊或打開惡意的附件。發送方策略框架有三大驗證要素:框架、驗證方法以及傳輸信息的專用郵件標頭。
4. DKIM郵件防篡改協議
域密鑰識別郵件(DKIM)是一種防篡改的協議,可以確保郵件在傳輸過程中的內容完整性和安全性。DKIM實際上是SPF的一種擴展,它使用數字簽名來檢查郵件是否由特定域發送的。此外,它可以檢查該域是否授權郵件發送。在實際操作中,DKIM讓用戶更容易創建域黑名單和白名單。
5. DMARC身份驗證協議
電子郵件安全的重要一環是基于域的消息驗證、報告和一致性比對。DMARC協議正是一種身份驗證系統,可用于驗證SPF和DKIM標準,以防止源自域名的欺詐活動。DMARC是對付域名欺詐的一種有效手段,但目前的實際采用率并不高,這也意味著未來的郵件欺詐態勢仍可能會進一步惡化加劇。
DMARC通過阻止有人欺詐“header from”地址來提供防護,它可以明確指令郵件服務提供商如何安全處理收到的郵件。如果某個郵件無法通過SPF檢查或DKIM驗證,該郵件將被拒絕。盡管DMARC不能做到萬無一失,但總體上是一種能夠讓各種域名系統免受欺詐的協議技術。
6. S/MIME端到端加密協議
安全/多功能互聯網郵件擴展(S/MIME)是一種歷史悠久的端到端加密協議。S/MIME在郵件發送之前對其進行加密,但并不對發件人、收件人或郵件標頭的其他部分進行加密。只有收件人才能解密郵件。
S/MIME由郵件客戶端實施,但需要數字證書。大多數現代郵件客戶端都可以支持S/MIME協議,不過你需要確認支持所選定的應用程序和郵件服務提供商。
7. PGP/OpenPGP端到端加密協議
Pretty Good Privacy(PGP)是另一種廣泛應用的端到端加密協議。然而,我們更有可能遇到并使用另一個版本OpenPGP,這是實現PGP加密協議的開源版本。它經常更新,并用于眾多現代應用程序和服務中。與S/MIME一樣,第三方用戶仍然可以訪問郵件元數據,比如郵件發件人和收件人信息。
用戶可以在各種操作系統上將OpenPGP添加到郵件安全系統,包括Windows、macOS、Linux、Android以及iOS等。在不同版本的系統上實現OpenPGP的方式略有不同,但是它們都是可靠的加密程序,可以將郵件數據放心地交由它們。OpenPGP可以說是目前跨平臺添加加密機制的最簡單方法之一。
